¿Cómo deshabilitar XML-RPC en WordPress Manualmente y Complementos?

Deshabilitar XMLRPC en WordPress

 Cómo deshabilitar XMLRPC.php en WordPress-Xml Rpc Plugins de WordPress

El XMLRPC.PHP es un sistema que autoriza actualizaciones remotas a WordPress desde varias otras aplicaciones. Esta publicación sobre WordPress Xmlrpc te ayudará a entender por qué deshabilitar WordPress XMLRPC es una buena idea y 4 formas de deshabilitar xmlrpc en wordpress, manualmente & usando complementos.

¿Qué es WordPress XMLRPC?

XMLRPC.php es una característica que permite la conexión remota a WordPress. Esta API ofrece a los desarrolladores de aplicaciones de escritorio y aplicaciones móviles la capacidad de comunicarse con su sitio web de WordPress. Esta API ofrece a los desarrolladores escribir aplicaciones que lo facultan para hacer numerosas cosas cada vez que inicia sesión en WordPress a través de la interfaz web, incluida–

  • Cada vez que subes un archivo nuevo, como una imagen para una publicación.
  • Siempre que edite comentarios.
  • Siempre que edites una publicación.
  • Siempre que elimines una publicación.
  • Siempre que publiques una entrada.
  • Siempre que obtengas una lista de comentarios.

Para tener una mejor comprensión de xmlrpc.archivo php, es imprescindible estar familiarizado con los siguientes conceptos básicos–

  • RPC es Llamada a Procedimientos remotos: esto le ayuda a llamar a un procedimiento de forma remota desde una estación de trabajo o un dispositivo.
  • XML (Lenguaje de marcado extensible): Este lenguaje en particular está enmarcado para almacenar y transportar datos, casi como HTTP.
  • HTTP (Protocolo de Transferencia de Hipertexto): Es un protocolo de aplicación que define cómo se formatearán los mensajes y se transmitirán a través de la World Wide Web. El protocolo también determina las acciones de los servidores web y los navegadores en respuesta a los comandos. En este caso, con la ayuda de HTTP, los datos se pueden transferir fácilmente desde un dispositivo remoto a un sitio web.
  • PHP (preprocesador de hipertexto) – Es un lenguaje de scripting y programación. Este lenguaje en particular sirve principalmente a sitios web dinámicos. Se utiliza para golpear una conversación entre –
  • El usuario
  • El sitio web
  • Las bases de datos

Así que, técnicamente hablando, con xmlrpc.archivo php se facilita una llamada a un procedimiento remoto. Esto se hace utilizando XML para codificar el mensaje y enviarlo a través de HTTP. Con esto, la información se puede intercambiar entre dispositivos u ordenadores.

what-is-xmlrpc-how-xml-Rpc-works

Por qué debe deshabilitar XML-RPC en WordPress

Aunque suena increíble actualizar un sitio web con un solo comando que se activa de forma remota. pero desafortunadamente, también levanta una gran bandera roja, y eso es exactamente lo que sucedió con la función XML-RPC en WordPress.

Inicialmente, fue una buena idea incluir esta funcionalidad en wordpress, pero pronto se dio cuenta de que puede abrir una puerta trasera en wordpress para hackers, robots de script o cualquier persona que intente acceder a su sitio de wordpress para entrar y abusar de él. Antes de WordPress 3.5, esta funcionalidad estaba desactivada de forma predeterminada, pero poco después, hoy en día, wordpress xmlrps está activado de forma predeterminada.

Sin duda, esta se ha convertido en la funcionalidad más abusada en wordpress. Puede resultar en un montón de solicitudes defectuosas de hackers, bots y scripts, todos tratando de piratear su sitio de WordPress a través de un ataque DDOS organizado de WordPress XML-RPC.

Ataques comunes XML-RPC

En los últimos dos años, después de que dos ataques a XMLRPC hayan recibido una cobertura inmensa, vamos a discutirlos en detalle–

  • Ataques de fuerza bruta a través de XML-RPC: No necesita preocuparse si tiene la guía experta de WP hacked help porque una vez que el hacker ha alcanzado el límite de intentos de inicio de sesión, simplemente bloqueamos al hacker. Según el ataque, el hacker intenta iniciar sesión en su sitio web de WordPress con la ayuda de xmlrpc.php. Veamos, en detalle a continuación, cómo se hace esto y cómo va a aprovechar esto mientras está probando un sitio web para detectar posibles vulnerabilidades de WordPress. Con un solo comando, los hackers pueden examinar cientos de contraseñas diferentes. Como resultado, esto les permite eludir las herramientas de seguridad que detectan y bloquean los ataques de fuerza bruta en wordpress. Puede proteger su sitio web de los hackers con nuestros servicios de seguridad de WordPress.
  • DDoS a través de pingbacks XML-RPC: Esto no se puede calificar como un tipo efectivo de DDoS y numerosos complementos antispam pudieron descubrir con éxito este tipo de abuso. Con esto, los hackers estaban utilizando la función pingback en WordPress para enviar pingbacks a miles de sitios a la vez. Este xmlrpc.la función php ofrece a los hackers numerosas direcciones IP para enviar sus ataques DDoS.

Ataque de fuerza bruta

1: Al abrir xmlrpc.php, verá esto ubicado en–

http://<xyz.com>/<wordpress directory>/xmlrpc.php

Ataque RPC-XML de WordPress

2- Ahora, abra su proxy y tendrá que enviar la solicitud de nuevo.

 Xml Rpc WordPress

3- En esta etapa, debe enviar una solicitud post y hacer una lista de todos los métodos accesibles para usted. ¿Te estarás preguntando por qué? Así es como vas a estar familiarizado con todas las acciones que son posibles hacer y usarlo para el ataque.

Para enumerar todos los métodos, debe enviar una solicitud de publicación con los datos de publicación mencionados a continuación en la imagen, recibirá una retroalimentación con todos los métodos disponibles.

<methodCall><methodName>system.listMethods</methodName><params></params></methodCall>

Vulnerabilidad XML-RPC de WordPress

Eche un vistazo más de cerca a lo siguiente, si están con usted, entonces podemos seguir adelante con el ataque

*)wp.getUserBlogs*)wp.getCategories*)metaWeblog.getUsersBlogs

3- Es necesario enviar lo siguiente en la solicitud POST para llevar a cabo el inicio de sesión de fuerza bruta. Si conoce otros nombres de usuario válidos, wp-scan puede ayudarlo a encontrar nombres de usuario válidos.

<methodCall><methodName>wp.getUsersBlogs</methodName><params><param><value>admin</value></param><param><value>pass</value></param></params></methodCall>

 fuerza bruta xmlrpc wordpress

4 – Todo lo que necesitas para entrar en intruso y fuerza bruta fuera. No importa si ha introducido una contraseña correcta o incorrecta, terminará teniendo una respuesta correcta. Aquí es donde tendrá que decidir entre lo incorrecto y lo correcto en función del tamaño de la respuesta. En caso de que esté utilizando intruder, la respuesta al inicio de sesión correcto será como la siguiente–

 Vulnerabilidad XML-RPC wordpress

Para qué se puede usar XML-RPC

XMLRPC tiene su parte justa de usos, déjenos discutirlos–

  • Aplicar pingbacks y trackbacks: Según este método, se notifica a los blogs que se han vinculado a ellos. Los trackbacks XMLRPC se hacen manualmente y la extracción corta debe compartirse. Los pingbacks XMLRPC están automatizados y no es necesario compartir extracciones cortas.
  • Provisión de acceso a su sitio web de forma remota y capaz de realizar cambios: Asumamos una situación en la que debe realizar cambios en su blog de WordPress, pero desafortunadamente no tiene acceso a su computadora portátil o computadora.

Puede instalar la aplicación de WordPress en su teléfono inteligente para publicar en su sitio web. La aplicación puede llevar a cabo esto con la ayuda de una función conocida como acceso remoto que está habilitada por un archivo conocido como xmlrpc.php.

  • Habilita el complemento JetPack para conectarse a WordPress.com-En los últimos dos años, el plugin ha ganado una inmensa popularidad en todo el mundo. Con el complemento JetPack, puede diseñar, proteger y hacer crecer su sitio web de WordPress. Si utiliza una combinación de la aplicación de WordPress y JetPack, necesitará el xmlrpc.archivo php para su buen funcionamiento.

¿Cómo deshabilitar XMLRPC en WordPress?

¿Por qué no deshabilitar xmlrpc por completo

Es fácil hacer esto con la ayuda del complemento mencionado anteriormente; sin embargo, si usa complementos famosos como JetPack, esos complementos dejarán de funcionar por completo?

Aquí es donde discutiremos tres formas en las que puede deshabilitar fácilmente XML-RPC en el sitio web de WordPress.

Deshabilitar XML-RPC en WordPress 3.5

Todo lo que tiene que hacer es pegar el siguiente código en un complemento específico del sitio:

1
add_filter('xmlrpc_enabled', '__return_false');

Deshabilitar XML-RPC con un complemento –

Dado que hay varios complementos en el repositorio de WordPress, deshabilitar xmlrpc.php será fácil de usar. Vamos a mostrarle cómo hacerlo, paso a paso, con la ayuda de’deshabilitar el complemento xmlrpc’.

  • En el primer paso, debe iniciar sesión en su panel de control wp-admin. Una vez que hayas iniciado sesión, tienes que ir a Plugins.
  • Verá agregar nuevo junto a los complementos.

complemento deshabilitar xmlrpc

Con la ayuda de una barra de búsqueda, debe buscar deshabilitar Xmlrpc. Necesitas ver el siguiente plugin en los resultados–

complemento deshabilitar xmlrpc wordpress

Aquí es donde necesita activar e instalar un complemento deshabilitar xmlrpc. Una vez que active el complemento, la función xmlrpc se desactivará. La versión de su sitio web de WordPress debe ser 3.5 y superior.

Dado que el plugin es gratuito, por lo que debe mantener un control sobre las actualizaciones regulares que recibe el plugin, asegurándose de que todavía está en uso por su creador.

Deshabilitar plugins Xmlrpc de WordPress

Deshabilitar XML-RPC

Este plugin funcionará en la versión del sitio web de WordPress que se ejecuta en la versión 3.5 o superior. Sitios web de WordPress que se ejecutan en la versión 3.5 o superior, xmlrpc está habilitado de forma predeterminada. Además, se eliminó la opción que habilita y deshabilita el xmlrpc. Hay numerosas razones por las que los propietarios pueden querer desactivar la funcionalidad. Usando este plugin, se puede hacer fácilmente. Así es como puedes instalar este plugin–

  • Para instalar este complemento, debe cargar el directorio xmlrpc en el directorio /wp-content/plugins/mientras instala WordPress.
  • Puede activar el plugin pasando por el menú’ Plugins ‘ en WordPress.
  • En esta etapa, su xmlrpc está deshabilitado.

Eliminar & Deshabilitar Pingback XML-RPC

No es necesario que sea víctima de ataques de denegación de servicio de pingback. Una vez que haya activado el complemento, xml-rpc se deshabilita automáticamente. Lo mejor de este plugin es que no tienes que configurar nada. Al deshabilitar el pingback xmlrpc, podrá reducir el uso de CPU del servidor.

 ataque de pingback XMLRPC de wordpress

Instale el complemento utilizando el panel de control de WordPress–

  • En el panel de complementos, debe navegar hasta ‘Agregar nuevo’.
  • Aquí es donde debe buscar ‘Eliminar Ping de retorno de ping XMLRPC’.
  • En esta etapa, debe presionar ‘Instalar ahora’.
  • Ahora, tiene que activar el complemento en el panel de complementos.

Carga en el panel de WordPress–

  • En el panel de complementos, debe navegar hasta ‘Agregar nuevo’.
  • Vaya al área de carga.
  • Aquí es donde debe seleccionar remove-xmlrpc-ping.comprime desde tu computadora portátil/computadora.
  • Debe presionar ‘Instalar ahora’.
  • Ahora, tiene que activar el complemento en el panel de complementos.

Usando FTP–

  • En el primer paso, necesitas descargar remove-xmlrpc-pingback-ping.Postal.
  • Debe extraer el directorio remove-xmlrpc-pingback-ping a su computadora portátil/computadora.
  • En esta etapa, debe cargar el directorio remove-xmlrpc-pingback-ping al directorio /wp-content/plugins/.
  • Ahora, tiene que activar el complemento en el panel de complementos.

Loginizer

Este es uno de los complementos de WordPress más efectivos que te ayuda a luchar contra un ataque de fuerza bruta. El complemento hace esto bloqueando el inicio de sesión de la IP una vez que ha alcanzado los retiros más altos permitidos. Con la ayuda de este complemento, puede incluir fácilmente direcciones IP en la lista negra o en la lista blanca para fines de inicio de sesión. Tiene la disposición de usar otras características como-re, Inicio de sesión sin contraseña,Autor de Dos Factores, etc.

Siga los pasos mencionados a continuación para instalar el complemento–

  • En primer lugar, debe iniciar sesión en su panel de administración de WordPress.
  • El segundo paso consiste en ir a la pestaña Plugins y, posteriormente, pasar a Agregar Nuevo.
  • Aquí es donde debe buscar Loginizer.
  • pulse el botón de Instalar Ahora.
  • Para activar el complemento, debe presionar el botón de Activar.
  • Vaya a su panel de control, vaya a Configuración y, a continuación, a Loginizer.
  • Depende de usted si desea configurar la configuración o si desea utilizar la configuración predeterminada.
  • Esto está hecho y ya está listo para comenzar.

Inicio de sesión simple

Todo lo que necesita es un número aleatorio de tres dígitos para iniciar sesión en WordPress. Puede ver el número correcto que se muestra encima del campo a través de un código JavaScript. Lo mejor del plugin es que es compatible con el formulario de inicio de sesión de WooCommerce.

Al igual que cualquier otro complemento, solo necesita instalar y activar el complemento. Carece de ajustes.

  • En primer lugar, debe visitar sus complementos Para Agregar una nueva pantalla.
  • Puede buscar el complemento buscando un inicio de sesión simple .
  • pulse el botón de «Instalar Ahora» para instalar el plugin.
  • pulse el botón de «Activar» para activar el plugin.

Desactivación de XML-RPC vía .htaccess –

Hablando de software de servidor web Apache, .los archivos htaccess alteran la configuración de los archivos. Como resultado, antes de que se transmita a WordPress, las solicitudes de acceso se deshabilitan.

Puede deshabilitar fácilmente xmlrpc en WordPress siguiendo los pasos que se mencionan a continuación–

  • Con la ayuda del cliente de Protocolo de Transferencia de archivos – Filezilla, puede acceder fácilmente a su sitio web.
  • Ahora, necesita acceder .htaccess en la carpeta raíz.
  • Puede haber una situación en la que la configuración predeterminada puede ocultar el archivo. Si se encuentra con una situación de este tipo, vaya a la configuración y presione el botón de ‘Mostrar carpetas ocultas’. Debe asegurarse de haber guardado los cambios. En esta etapa, debería poder ver su archivo.
  • Una vez que haya abierto el archivo, debe escribir el código mencionado a continuación–
# Block WordPress xmlrpc.php requests<Files xmlrpc.php>order deny,allowdeny from allallow from 123.123.123.123</Files>

Por fin, guarde todos los cambios que ha realizado y estará listo para comenzar.

Si aún tiene alguna consulta o duda sobre cómo deshabilitar xmlrpc en WordPress, puede ponerse en contacto con nosotros y nuestro equipo de expertos lo ayudará.

También echa un vistazo a nuestra GUÍA SOBRE los errores más comunes de WordPress en 2020

solucionar problemas de wordpress xmlrpc ayuda

Otros problemas de WordPress & Sus soluciones:

  • Cómo Arreglar la Pantalla Blanca de la Muerte en WordPress
  • Cómo Arreglar El Error De Permisos de Archivos Y Carpetas WordPress
  • Cómo Proteger Su Sitio de WordPress en 2020
  • Cómo Eliminar «Este Sitio Puede Ser Hackeado» De WordPress
  • Cómo Eliminar El Usuario Administrador Oculto En WordPress
  • Cómo arreglar «El enlace que seguiste ha caducado» en WordPress
  • Cómo arreglar conectable.Errores de archivo php en WordPress?
  • Cómo arreglar » Cargar: Error al Escribir el archivo en el Disco «Error de WordPress
  • Cómo Solucionar» Está Seguro de Que Desea Hacer Esto » WordPress
  • Cómo Solucionar el Error de Servicio No Disponible 503 en WordPres
  • Cómo Solucionar el Error de Análisis: Error de Sintaxis en WordPress?
  • Cómo Solucionar El problema De» Esta Cuenta Ha Sido Suspendida »
  • Cómo Eliminar El Malware Del sitio Hackeado De WordPress
  • Cómo Solucionar El Hack De Redirección De Malware De WordPress?
  • Cómo Eliminar Favicon .hack hack en WordPress

Esta publicación fue modificada por última vez el 7 de septiembre de 2020